QR-koder kan se ufarlige ut, men de er mer risikable enn du tror.
QR-koder er populære fordi de raskt kan leses av digitale enheter og gjør mange ting mer praktiske. Du kan bla gjennom nettsteder, laste ned filer og til og med koble til Wi-Fi-nettverk ved å skanne en QR-kode.
Men dessverre byr bruken av QR-koder også på mulige sikkerhetsproblemer.
Hva er farene ved QR-koder?
Noen kan bruke QR-koder til å angripe både menneskelig interaksjon og automatiserte systemer. For å ta forholdsregler, vurder noen få eksempler.
SQL-injeksjonsangrep
SQL Injection er en angrepsvektor som hackere bruker til å angripe databasedrevne applikasjoner. Med denne metoden har de som mål å stjele dataene i en database.
For å nærme seg dette fra et QR-kodeperspektiv, se for deg et scenario der QR-dekodingsprogramvare kobles til en database og bruker QR-kodeinformasjon for å utføre en spørring. Dessuten er det en SQL-injeksjonssårbarhet. I et slikt scenario kan QR-kodeleseren kjøre søket ditt uten å bekrefte om det kommer fra en autentisert kilde. Dermed kan hackeren stjele informasjonen i databasen.
Dette er verken så tøft eller så kronglete som det ser ut til. Når du skanner en QR-kode, vises en lenke på QR-kodeleseren. Ved å endre URL-parametere er det mulig å utføre angrep som SQL-injeksjon. URL-en som QR-kodeskanneren omdirigerer til kan du selvfølgelig tillate deg å utføre en slik angrepsvektor.
Kommandoinjeksjon
I kommandoinjeksjonsmetoden kan en angriper injisere en HTML-kode som endrer innholdet på en side. Hver gang brukeren besøker den endrede siden, tolker nettleseren koden, noe som resulterer i utføring av ondsinnede kommandoer på enheten der brukeren skanner QR-koden. Dette er med andre ord en situasjon der input fra QR-koden brukes som en kommandolinjeparameter.
I et slikt tilfelle kan en angriper ganske enkelt dra nytte av situasjonen ved å endre QR-koden og kjøre vilkårlige kommandoer på maskinen. En angriper kan bruke denne metoden til å distribuere rootkits, spionprogrammer og DoS-angrep, samt koble til en fjern maskin og få tilgang til systemressurser.
Sosialteknikk
Sosialteknikk er det generelle navnet på å manipulere folk til å få uautorisert tilgang til deres konfidensielle informasjon. Hackere bruker denne metoden for å stjele informasjonen din eller bryte seg inn i et system. Phishing er en av taktikkene mest brukt.
Med phishing blir målrettede personer tvunget til å klikke eller besøke falske nettsider. QR-koder er veldig nyttige for denne jobben fordi en bruker ikke kan forstå hvilket nettsted de skal gå til ved å se på QR-koden.
Tenk deg å logge på et nettsted som ser ut som et nettsted som Twitter og har en lignende URL. Hvis du skriver inn påloggingsinformasjonen din her, og mister den for Twitter, kan du miste kontoen din til en hacker.
Slik unngår du usikre QR-koder
I begynnelsen av tiltakene som kan iverksettes mot angrepene gjort av hackere med QR-koder, kommer personen, som er det svakeste leddet i sikkerhetskjeden, først. Med andre ord, en bruker bør være mer forsiktig mot angrep fra sosial ingeniørkunst og bør ikke skanne QR-koder hvis kilde er ukjent. Siden folk ikke kan lese QR-koder, kan det være vanskelig å vite hvem de skal stole på. Dette er grunnen til at du bør bruke sikre QR-kodelesere.
Hold operativsystemet til mobilenheten din oppdatert og bruk en applikasjon for å lese QR-koder på en sikker måte. Mange moderne mobile enheter kommer med en innebygd QR-kodeleser i kameraene. Men å ha en QR-kodeapplikasjon på mobilenheten som lar brukere sjekke URL-en før de besøker den, gir dem muligheten til å bekrefte kilden til URL-en de er i ferd med å få tilgang til. Denne sikkerhetskontrollen er ikke mulig for QR-koder som ikke gir noen medfølgende informasjon. Derfor er alle QR-kodeleser-apper pålagt å vise den dekodede URL-en til brukeren før du åpner lenken og ber om bekreftelse.
Undersøk programvare for generering av QR-koder
Validering av generator av en QR-kode og testing av dataintegritet vil tjene som et tiltak mot mulig svindel, SQL-injeksjon og kommandoinjeksjonsangrep. Det er viktig å standardisere og integrere digitale signaturer for QR-kodeautentisering og å verifisere om QR-koden er endret eller ikke. Digitale signaturer kompliserer QR-kodebaserte angrep betydelig ettersom de krever at angriperen endrer kontrollsummen og dermed endrer verifiseringsprosessen.
Du bør ikke stole på de mange QR-kodegeneratorene du kan finne på internett. Vær oppmerksom på teknologien og selskapet bak disse generatorene.
Se opp for usikre nettadresser
Å omdirigere besøkende til upålitelige nettadresser er et av de mest populære QR-kodeangrepene, som kan føre til phishing-forsøk og overføring av skadelig programvare som virus, ormer og trojanere. For å sikre påliteligheten til nettmateriale mot slike overgrep, er det avgjørende å validere innholdets legitimitet ved å avgjøre om QR-kodeleserprogrammet kan skille mellom falsk og ekte URL-er.
Pass på kjørbare koder
For å forhindre at kjørbare koder eller kommandoer skannet av en QR-kode får tilgang til ressursene til skanneenheten, er det nødvendig å isolere innholdet i QR-koden. Å isolere innholdet kan bidra til å forhindre angrep som personvernbrudd, tilgang til personlig informasjon og bruk av skanneenheten for angrep som DDoS og Botnets. Den enkleste metoden er å blokkere tilgang til applikasjoner, inkludert QR-kodeskanningsapper, til ressursene til skanneenheten (som kamera, telefonbok, bilder, stedsinformasjon osv.).
Bruk QR-koder, men forsiktig
Med den raske utvidelsen av teknologien har QR-koder blitt en del av hverdagen vår. Du kan redusere risikoen knyttet til QR-koder ved å bruke dem klokt og iverksette tiltak.
Vær forsiktig når du skanner QR-koder som du finner på Internett eller i virkelige omgivelser. Bruk anerkjente programmer, og hold enhetene dine beskyttet med oppdatert antivirusprogramvare. Det er også en god idé å ikke skanne QR-koder fra mistenkelige eller upålitelige nettsteder og ikke gi ut personlig informasjon.
